El décimo aniversario de Google Chrome estuvo pasado por agua: los cambios visuales y las nuevas funcionalidades eran destacables, pero quedaron ensombrecidos por una nueva característica de la que Google no dijo nada: el login forzado.
Esta opción hace que cualquier usuario de Chrome que inicie sesión en un servicio de Google lo haga automáticamente en Chrome, algo que plantea riesgos potenciales a la privacidad. Los responsables de Google han acabado recapacitando y tras las críticas introducirán en Chrome 70 la posibilidad de desactivar ese tipo de login automático y corregirán otro problema reciente con las cookies.
Una práctica preocupante
Chrome es un navegador notable en muchos apartados —aunque sea algo glotón en materia de consumo de memoria— pero lo realmente preocupante de la nueva versión era ese inicio de sesión forzado que hacía que el usuario ya no tuviera que dar su consentimiento para logarse en Chrome al detectarse inicio de sesión en uno de los servicios de Google.
Los expertos en seguridad criticaron esa decisión, que en Google defendieron argumentando que aportaba consistencia y evitaba confusión: en anteriores ediciones de Chrome un usuario A podía estar logado en el navegador pero acceder a servicios de Google con otra cuenta B.
Esto podía hacer que la recolección de datos de una cuenta B acabase alineada con los datos de la cuenta A, algo que podría plantear riesgos para la privacidad según los ingenieros de Google.
La nueva característica era potencialmente peligrosa para la privacidad de los usuarios que prefieren no iniciar sesión en Chrome, aunque es cierto que para que se iniciase la recolección de datos había que activar un último servicio: Google Sync.
Chrome borraba todas las cookies... excepto las de Google
Otro de los descubrimientos que se realizaron en las últimas horas también añadió más leña al fuego: el navegador Chrome hacía una gestión de las cookies bastante particular.
"Clear all Cookies except Google Cookies", thanks Chrome. /cc @matthew_d_green pic.twitter.com/tR0UJjtPFL
— Christoph Tavan (@ctavan) 24 de septiembre de 2018
De hecho si un usuario decidía borrarlas se borraban todas a excepción de las cookies generadas por sitios y servicios de Google, que seguían almacenadas en el navegador.
In "Clear browsing data" there's at least a notice that I won't be signed out of Google. In chrome://settings/siteData?search=cookies however, there's a "Remove all" button which doesn't remove all. See screenshots before, after click on "remove all" and after refresh. pic.twitter.com/rTkFWmCmWP
— Christoph Tavan (@ctavan) 25 de septiembre de 2018
El botón "Remove all" ("Borrar todas") en realidad no las eliminaba totalmente, y como explicaba Christoph Tavan, esas cookies pertenecientes a servicios de Google se eliminaban para luego ser "recreadas inmediatamente" como se ve en la secuencia de imágenes de su mensaje en Twitter. El problema volvió a encender las críticas de usuarios y expertos en privacidad y seguridad informática.
Google recapacita
Las críticas por esa medida ha hecho que en Google den marcha atrás. En un nuevo post en el blog oficial de Google uno de sus responsables de producto explica cómo en Chrome 70 incluirán una nueva opción para activar o desactivar el llamado "Chrome sign-in".
En la nueva versión actualizarán la interfaz de usuario para que sepamos cuál es el estado de sincronización de nuestra cuenta. Así, podremos estar no logados, logados pero sin sincronizar datos y logados y sincronizando datos.
También, aseguran, eliminarán todas las cookies (todas, todas) cuando lo pidamos, y no mantendrán ya las de Google auth, que según los ingenieros de Google no borraban "para permitir que te mantuvieras logado después de que las cookies se borraran".
No obstante, habrá que ver si el navegador mantiene el login forzado por defecto, algo que a juzgar por las imágenes será el comportamiento nativo de Chrome. Si es así volverán las críticas, y serán los usuarios los que tendrán que desactivar esta función manualmente si desean no contar con ese inicio de sesión automático en Chrome.
Como ya comentábamos al hablar de esta técnica, es posible desactivar ese comportamiento en Chrome 69. Para ello hay que navegar a la dirección "chrome://flags/#account-consistency" y deshabilitar la opción "Identity consistency between browser and cookie jar". Hasta que aparezca Chrome 70 a mediados de octubre, esta será la forma más rápida de evitar problemas y confusiones en este ámbito.
Más información | Google Blog
Ver 26 comentarios
26 comentarios
diegolopez10
Eso no es que Google recapacite, eso es que se les ha visto demasiado el plumero. Cómo odio la dependencia que tenemos en general todos de Google...
whisper5
Claro, como si volver atrás dejase todo como estaba. En el periodo de tiempo que pase desde una versión a otra Google habrá recopilado un montón de datos nuevos. ¿Los va a eliminar de sus bases de datos? No lo creo.
Una de las cosas que menos se entiende sobre la privacidad de nuestros datos es que hay datos que sólo necesitan ser robados una vez para que se vean comprometidos durante muchos años o para siempre.
TOVI
Somos corderos y Google el lobo. Por ahora el lobo ha dicho que no va a morder pero... ¿quien se fia? Su naturaleza es la que es.
kanete
Parece increíble el arte de que tiene Google para pegarse tiros en el pie de forma continua y constante. No hay novedades para atraer nuevos usuarios, cosa que a día de hoy ya es difícil, pero trabajan arduamente para espantar a los usuarios que hayan confiado en ellos en un principio.
En algún momento tendrán que hacer algo, aunque sea a nivel legislativo de la UE, que les obligue exactamente a demostrarnos de forma clara y rápida lo que saben de nosotros y para qué usan realmente esos datos.
ae123
Demasiado control de daños veo. Google no cambiara esa sed de datos que tiene.
En mi trabajo están empezando a cambiar los navegadores permitidos excluyendo a Chrome. Y parece que varias empresas ya están haciendo algo similar.
mernelex
La gente que usa Chrome sin tan siquiera evaluar los navegadores de la competencia, tiene lo que se merece.
Usuario desactivado
Justo el otro día me pasó: necesitaba en un ordenador ajeno imprimir una cosa de mi correo rápido. Entré a mi cuenta de google, imprimí lo que necesitaba y cuando fui a cerrar chrome me saltó un aviso de que aún no se habían acabado de sincronizar todos mis datos (Historial, contraseñas y cuentas...)
Me quedé flipando a la vez que cabreado. Evidentemente, con las prisas le di a iniciar sesión y aceptaría que se sincronizara todo, pero con decisiones así solo enfadan al usuario.
skyleth
aprovechando esto, acabo de migrar marcadores a firefox y contraseñas a keepass. de momento encantado con el cambio
manuelcr
Pasando... me quedo con Firefox, Mozilla se merece todo nuestro apoyo tras el esfuerzo para optimizar su navegador, además de trabajar realmente por evitar que seamos rastreados y espiados en la web.
Google rectifica esta vez porque se les ha visto el plumero, pero volverán a la carga.
Usuario desactivado
Ay, Google...
Usuario desactivado
Mientras sigáis usando Chrome os la irán metiendo más y más.
Usuario desactivado
Lo mejor de chrome es lo efectivo que resulta para detectar g1l1pollas ¿Lo usas? Ergo... Ahora confirmadmelo con vuestras manitas abajo y vuestros comentario "sesudos" jajaja